Google Cloud Storage 提供了以下选项的存取控制：

IAM权限：允许存取 Project 里的所有 bucket 和 object。通过 IAM，您可以控制对整个 project 所有 bucket 和 object 的存取权限, 但是无法针对个别 bucket 或是 object 做控制。
Access control list（ACL）：允许对单个 bucket 和 objects 进行读写的控制。当您需详细地控制个别的资源时，可以使用 ACL。
Signed URL：通过产生的 URL 网址可以进行存取和读写。无论取得共享网址的人是否拥有Google帐户，每个取得共享网址的人皆可在特定的时间存取 object。
Signed policy document：指定可以上传到bucket的内容。在Policy文件中，可以比 Signed URL更精准地掌握例如：文件大小、内容类型等上传属性。网站拥有者可通过 Signed policy document 允许访问者将文件上传到 Google Cloud Storage。

本文将介绍如何是用第三种方法：Signed URL来对Object进行上传下载。

一、创建Service Account

Service Account是Machine to Machine通讯时，权限管理的账号。我们通过以下三步获得具有存储管理权限的Service Account：

创建Service Account
授权Service Account
下载Service Account Key文件
在客户端激活Service Account

1 创建 Service Account

在GCP的Console中选择IAM->Service Account，选择Create Service Account：

2 授权Service Account

创建好Service Account后，在IAM中对这个Service Account进行授权。

给这个Service Account分配Storage Admin的权限。此时在GCS的Permission中可以看到这个Service Account对每个Bucket都有了Admin的权限。

也可以采用真的每个Bucket单独授权的模式，在IAM中取消这个Service Account的权限。进入到GCS管理界面，针对每个Bucket进行授权。

3 下载Service Account Key文件

在IAM的Service Account中创建Service Account Key：

这个文件会下载到本地。

4 在客户端激活Service Account

在安装有gcloud客户端的机器上激活Service Account：

二采用Signed URL下载文件

1 查看下载文件

通过GCS的命令行工具gsutil，创建Signed URL的链接。
我们对非public对文件进行Signed URL操作：

2 生成Signed URL

在命令行中：

可以看到GCP返回Signed URL链接：

3 使用Signed URL下载文件

用浏览器打开这个链接，可以直接下载；也可以用curl命令手工下载：

三用Signed URL上传文件

1 生成一个上传文件

2 使用gsutil生成signed URL

3 上传文件

可以看到上传成功。

四用Signed URL实现断点续传上传文件

GCS Signed URL支持断点续传。具体实现方式如下：

1 生成文件

2 gsutil生成Signed URL

得到如下返回

3 生成上传链接

返回如下：

将上传地址取出：

4 上传并中断

中断上传

5 查看上传的大小

返回值中有Range信息：

6 生成剩余文件

7 上传剩余文件

8 验证

上传的文件和本地文件一致。

五总结

通过Signed URL可以实现：

下载
上传
支持断点续传的上传

创作场景

Google Cloud Storage Signed URL